1.総務省が推進する情報セキュリティポリシーとは？

情報セキュリティポリシーとは、簡単にいうと企業の情報セキュリティに対する取り組み（情報セキュリティマネジメント）をまとめたものです。その最大の目的は、企業が保有する情報資産を情報セキュリティの脅威から守ることです。企業の公式サイトでも、情報セキュリティポリシーを掲載するところが増えました。一般消費者や取引先からの信頼を高めるうえでも情報セキュリティポリシーを早急に作成して社内外に明示することが求められているのです。

情報セキュリティポリシーとしばしば混同されやすいものにプライバシーポリシーがあるでしょう。プライバシーポリシーを作成する主な目的は、個人情報保護法の順守とそれにともなう業務上の手続きを簡略化することです。個人情報に特化している点が特徴です。情報セキュリティポリシーはプライバシーポリシーよりも広い情報セキュリティをカバーする包括的な概念と言えるでしょう。プライバシーマークの認定を受ける企業は珍しくなくなりましたが、情報セキュリティマネジメントで国際標準クラスの基準を持つ「ISMS認証」の取得を目指す企業も増えています。

2.なぜ必要？情報セキュリティポリシーの導入目的

情報セキュリティポリシーは、企業の情報資産を守るために導入するもの。情報漏えいやデータ改ざん、ウィルス感染や自然災害などのインシデントに対してスピーディーに対処するためのものなのです。企業がトップダウンで推進する仕組みであり、情報セキュリティに対する企業の姿勢や方向性を社内外に明示することに価値があるとも言えるでしょう。

2-1.社員のセキュリティ意識の向上

情報セキュリティのリスクを減らすうえで社員の協力は欠かせません。働き方改革が推進されるなか、モバイル端末を社外に持ち出して作業したりテレワークを選んだりする人が増えています。便利なモバイル端末やクラウド技術の進歩は企業や労働者に多大な恩恵をもたらしますが、情報セキュリティリスクを拡大させる一因にもなっているのです。

セキュリティ意識の低い社員が企業情報を漏えいしたりウィルスを持ち込んだりすることによって企業が受けるダメージは計り知れません。情報セキュリティポリシーは企業にかかわるすべての人が順守すべきルールです。これを社内に浸透させることによって社員のセキュリティ意識が高まり、結果的に企業の情報資産を守りやすくなるのです。

2-2.取引先や顧客からの信頼獲得

大企業が情報セキュリティ対策を重視するようになったことで、比較的セキュリティの脆弱な下請けの中小企業や関連企業がサイバー攻撃の標的になるケースも珍しくなくなりました。情報セキュリティリスクの拡大や個人情報に対する関心の高まりによって、情報の提供に対して慎重になる企業や個人が増えています。業務委託先に一定レベル以上の情報セキュリティマネジメントを求める企業も少なくありません。特に、2017年に改正個人保護法が施行されたことは中小企業に小さくない影響を与えました。1件でも個人情報を保持していれば規制の対象になり、違反すると刑事罰が適用されるおそれが出てきます。

取引先や顧客から情報提供を受ける企業には、その不安を払拭するような情報セキュリティマネジメントの早急な構築が求められていると言えるでしょう。情報セキュリティポリシーを企業の公式サイトに掲載することは、取引先や顧客の安心感を高め、信頼を獲得することに役立ちます。

3.情報セキュリティポリシーに取り入れる主な内容とは？

情報セキュリティマネジメントの国際標準である「ISO27001」や、それと同等の基準を求める「ISMS認証」では、情報セキュリティを「機密性」と「完全性」、および「可用性」という3つの主要特性で定義しています。総務省の「国民のための情報セキュリティサイト」にも明記されているように、情報セキュリティポリシーはこれら3つの特性を満たすように作成する必要があるのです。「機密性」とはインシデントの発生を防ぐためにデータにアクセスできる権限を段階的に限定することを指します。また「完全性」とは権限のない人によってデータの改ざんや消去などを受けないこと。「可用性」とは権限のある人が必要なときにデータを利用できることを意味しています。

ここからは、情報セキュリティポリシーに取り入れる主な内容について具体的に紹介していきましょう。

3-1.基本方針

情報セキュリティポリシーでは、盛り込むべき項目や文書の構成について特定のルールが定められていません。経済産業省や日本ネットワークセキュリティ協会（JNSA）などがサンプル例を公開していますが、それに従って作成する必要はないのです。情報セキュリティの対象となる情報資産やネットワーク環境、ITシステムなどは企業によって大きく異なるのが普通なので、自社の実情に合った情報セキュリティポリシーを構築すれば問題ありません。

情報セキュリティポリシーの文書は、基本方針（ポリシー）と対策基準（スタンダード）、および実施手順（プロシージャー）の3階層で構成されるのが一般的です。この3つの階層はそれぞれ、情報セキュリティをどんな目的で（Why）、どんな情報資産を（What）、どんな方法で（How）進めるのかについて取り決めたものだと考えるとわかりやすいかもしれません。基本方針は企業のトップが、対策基準は社内に設置した委員会などが決めていくことになるでしょう。この2つの階層を指して情報セキュリティポリシーと呼ぶこともあります。社員が実施すべき手順をより具体的に定めたのが実施手順です。

基本方針の部分では、企業の経営者が決めた情報セキュリティに対する企業全体の方針や宣言を記載します。たとえば「取り決めた情報セキュリティポリシーを順守することで顧客情報を保護し、情報セキュリティの確保に努める」といった内容になるでしょう。

3-2.対策基準

対策基準の部分では、基本方針で定められた情報セキュリティを実現するために必要となる具体的な規則について記載します。企業が保有する情報資産のうち、どんなものを情報セキュリティポリシーの対象にするのか、だれが規定の対象者になるのかなどについて明確にしなくてはなりません。また、企業が抱える情報セキュリティリスクをカバーするための具体的な情報セキュリティ対策も盛り込む必要があるでしょう。

たとえば「情報セキュリティを高めるために社内LANとインターネットのあいだに総合脅威管理システムを設置する」「社内書類を分類して機密レベルを設定し、取り扱いに制限を加える」といった内容がこれに該当します。総合脅威管理システムとはUTM（Unified Threat Management）と呼ばれるもので、ウィルス感染・不正行為などを予防する機能や評判の悪いサイトをブロックするwebレピュテーション機能、不正なパケットを遮断するファイアーウォール機能などを持つ装置です。

3-3.実施手順

実施手順は情報セキュリティポリシーのマニュアルにあたる部分です。企業にかかわるすべての人が理解できるように詳細かつ具体的な内容を記載します。たとえば、入退室管理マニュアルやIDカードの発行マニュアル、ウィルス対策ソフトの導入マニュアルなどがこれに含まれるでしょう。

4.情報セキュリティポリシーの作成から運用までの流れ

ここでは、情報セキュリティポリシーの作成から運用までのおおまかな流れについて解説します。通常、策定組織の設置→情報資産の洗い出しと基本方針の決定→リスク分析と対策基準の作成→実施手順の作成→運用という流れになるのが一般的です。情報セキュリティポリシーを導入することが決まったら、まずはその作成にあたる組織体制を構築しなくてはなりません。情報セキュリティ委員会を設置して対応していくのが一般的であり、委員会の最高情報セキュリティ責任者を通常CISO（Chief Information Security Officer）と呼びます。

次に、企業が抱える情報資産を洗い出すとともに、基本方針を企業のトップが決定します。情報資産には物理的資産やソフトウェア資産、知的資産や紙媒体資産、電子情報などが含まれるでしょう。企業の評判やイメージといったものが対象になることも少なくありません。さらに、企業が抱える情報セキュリティリスクを洗い出して、それに対処するための対策基準を作成します。最後に対策基準に基づいた実施手順を作成して、実際に運用していく流れになるでしょう。

5.情報セキュリティポリシーを導入する時の3つのポイントとは？

ここでは、情報セキュリティポリシーを導入するときに知っておきたい3つのポイントについて紹介します。情報セキュリティポリシーは長く運用していくことに価値があるのであって「作成すれば終わり」ではないのです。

5-1.PDCAを回し定期的な見直しを行う

情報セキュリティポリシーを運用していくなかで、対策の不足や手順の不備などの問題が表面化することは珍しくありません。運用してみてはじめてわかることも多いのです。社会情勢が変化したり、新しい不正行為が出現したりすることもあるでしょう。情報セキュリティポリシーの運用では、定期的に評価して問題点を分析し、対策を立て直してポリシーに反映させていくプロセスが欠かせません。業務の効率化やキャリアアップなどにも利用されることが多いPDCAサイクルを情報セキュリティポリシーの運用にも活用しましょう。

PDCAとは、Plan（計画）→Do（実行）→Check（評価）→Action（改善）という4つのステップを実行するもの。改善した内容を計画に反映させて何度もくり返し実行する手順なので、サイクルと呼ばれます。

情報セキュリティポリシーのPDCAサイクルには、現場レベルで回す小規模なものから組織全体で回す大規模なものまでさまざまな種類があります。現場レベルのPDCAサイクルなら短期間に回すことも可能です。しかし、組織全体で回すような大規模なPDCAサイクルは、半年や1年といったスパンで回すことになるでしょう。現場レベルの評価は各部署や個人でも実施できますが、企業トップを含めた全体的な評価を実施するときには、外部の専門家などといった第三者機関の評価をメインにする場合も少なくありません。

5-2.外部の専門家に依頼することも検討する

評価のタイミングだけではなく、情報セキュリティポリシーを作成する段階から外部の専門家にサポートを依頼するのもひとつの方法です。時間的・人材的問題がネックになって社内だけで作成するのが難しい場合も少なくありません。専門家のサポートを得ることで作成がスムーズになったり情報セキュリティポリシーの品質が向上したりする効果が期待できます。

しかし、情報セキュリティポリシーの作成プロセスには、企業が抱えるリスク分析も含まれています。これは機密情報であり、外部に漏れるようなことがあると情報セキュリティポリシーを作ること自体がリスクを増大させる原因のひとつになりかねません。また、情報セキュリティポリシーは企業の実態に合わせて作成することが重要なので、基本的に組織内でまとめる必要があるでしょう。外部に丸投げすることは避け、あくまでもアドバイスやサポートを受ける形での協力依頼にとどめるべきです。

5-3.研修などを行い社内への周知を徹底する

情報セキュリティの問題は一般社員にとって難解な内容も多く「パソコンができるというだけでセキュリティ担当者にされた」という人も少なくないかもしれません。しかし、情報セキュリティの維持には企業トップも含めた社員一人ひとりの努力が不可欠です。担当者だけが情報セキュリティ対策を心がければ良いというものではありません。

うっかりIDカードや顧客の名刺を紛失したり、帰宅時にお酒を飲んで社内PCを置き忘れたりする失敗をしたことのある人もいるのではないでしょうか。情報セキュリティポリシーを作成しても、社員全員がその内容を理解していなければ意味がありません。必ず研修や勉強会を実施するなどして社内全体への周知徹底を図りましょう。

6.情報セキュリティポリシーの導入時の2つの注意点とは？

ここでは、情報セキュリティポリシーの作成に取りかかるまでに押さえておくべき2つの注意点について紹介します。

6-1.作成にはIT担当者だけでなく幹部職員も関与する

情報セキュリティポリシーは企業の情報資産を守るためのものです。情報セキュリティが機能せず重要なインシデントが発生すると企業存続の危機に陥る可能性すらあります。IT担当者や担当部署だけで情報セキュリティポリシーを作成するのではなく、企業トップや幹部職員も必ず関与することが大切です。

アメリカの調査機関Ponemon Instituteは、2016年の調査で「1日のうちに全世界で7億2000万回ものサイバー攻撃が発生している」ことを報告しています。しかも、セキュリティ侵害の半数はファイアーウォールの内側で起きているのです。OSや個々のソフトウェア、データばかりでなく、ハードウェアの制御プログラムであるファームウェアがサイバー攻撃のターゲットになるケースが増えています。情報漏えいやウィルス感染、データ改ざんなどは重大なインシデントですが、単純にシステムが停止することだけでも巨額の被害が発生する可能性があるのです。

情報セキュリティはソフトウェアレベルで対処するのが難しい段階に来ています。2014年にアメリカのソフトウェア会社Symantecの情報セキュリティ担当者が「ウィルス対策ソフトは死んだ」と発言したことは世界に衝撃を与えました。情報セキュリティマネジメントにおいては、ハードウェアレベルでの高度なセキュリティ対策が求められている時代なのです。

日本HPは世界標準の安心サーバーとSilicon Root of Trust（シリコンレベルの信頼性）を提供できる唯一のベンダーです（2019年3月時点）。ハードウェアそのものに情報セキュリティ機能を持たせることにより、ファームウェアの改ざん検出機能を実現しています。セキュリティ侵害が起こるとサーバーが自動的にリカバリして、短時間で運用を再開することも可能です。日本HPが提供するハードウェアレベルの情報セキュリティ技術はサーバーだけでなくPCにも搭載されています。

日本企業では、PCやサーバーの機種選定や購入を一部の部署が担当しているケースが少なくありません。しかし、情報セキュリティマネジメントはサーバーやPCを選ぶ段階から始まっているとも言えるでしょう。情報セキュリティリスクが極限まで高まっている状況を企業トップが正確に認識して情報セキュリティポリシーを作成する必要があります。

6-2.抽象的かつ実現不可能な内容にしない

情報セキュリティポリシーの内容が理想論になっていたり、抽象的であいまいなものになっていたりすると、顧客や取引先は「具体的にどのような対策を取っているのか」と不安に感じやすくなります。また、質の良い情報セキュリティポリシーができたとしても、コストがかかりすぎるなどの理由で長期的に運用できないようでは意味がありません。情報セキュリティポリシーは長く安定的に実現できる内容にする必要があるのです。

ただし、情報セキュリティを取り巻く状況は刻々と変化しています。時間をかけて細部まで作成した情報セキュリティポリシーを根底から見直す必要に迫られる可能性もあるでしょう。企業の情報資産を守るためには、企業にかかわる全員が常にPDCAサイクルを回して情報セキュリティポリシーを最適なものにしていく努力が欠かせません。

7.総務省が推進する情報セキュリティポリシーの作成は必ず行おう！

情報セキュリティへの脅威は非常に高まっています。企業の重要な情報資産を守るためには情報セキュリティポリシーを必ず作成しておかなくてはなりません。サイバー攻撃や情報漏えいだけでなく自然災害発生時の対応においても情報セキュリティポリシーは有効です。作成にあたっては総務省が提供するガイドラインや日本HPの公式サイトなどを参考にしてみてはいかがでしょうか。